Merci bien pour les encouragements
C'est très .......... encourageant!
J'ai donc commencé ma cabane... cad mes expérimentations de config et j'ai de ce fait un peu avancé. Je me limite volontairement à l'http pour commencer. Ce que j'ai remarqué:
- je ferme entrées et sorties
- Code: Tout sélectionner
arnaud@compaq-portable:~$ sudo ufw default deny outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
arnaud@compaq-portable:~$ sudo ufw default deny incoming
La stratégie par défaut pour le sens « incoming » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
--> plus rien de passe, ce qui est normal
- maintenant j'autorise toutes les sorties (les entrées étant encore toutes bloquées)
- Code: Tout sélectionner
arnaud@compaq-portable:~$ sudo ufw default allow outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « allow »
(veillez à mettre à jour vos règles en conséquence)
--> l'accès aux sites internet fonctionne normalement, j'ai accès à mon compte bancaire en https ainsi qu'à mon sme en ftp, aux web radios...
Donc apparemment, mon client cré tout seul une exception aux règles entrantes du firewall pour le port sur lequel il attend les infos du serveur. Vrai?
- maintenant je rebloque toutes les sorties et autorise le http sortant comme indiqué par jdh:
- Code: Tout sélectionner
arnaud@compaq-portable:~$ sudo ufw default deny outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
arnaud@compaq-portable:~$ sudo ufw allow out http
La règle a été ajoutée
arnaud@compaq-portable:~$ sudo ufw status
État : actif
Vers Action Depuis
---- ------ ------
80/tcp ALLOW OUT Anywhere
--> et là...
ça bloque!
et je là ne comprends plus:!
Qui peut m'expliquer???
En ce qui concerne les flux, effectivement j'en ai oublié quelques uns et en plus fait un lapsus entre FTP et NFS...
Voici donc ma version remodelée:
- émettre une requête HTTP vers un serveur quelque part sur internet et recevoir la réponse de cette requête (pour pourvoir aller sur ce forum par ex.)
- émettre une requête HTTP vers mon sme (je pense que le client se fiche de la différence car tout arrive au sme. Vrai?) et en recevoir la réponse
- émettre une requête HTTPs vers un serveur quelque part sur internet et recevoir la réponse de cette requête (pour pourvoir aller sur ce forum par ex.)
- émettre une requête FTP vers un serveur (internet ou sme) et en recevoir la réponse
- émettre une requête samba vers mon sme et en recevoir la réponse
- émettre une requête NTP vers un serveur horloge et en recevoir la réponse
- émettre une requête ssh vers mon sme et en recevoir la réponse
- émettre une requête NFS vers mes autres clients et en recevoir la réponse (pour communication directe entre les PC's lors d'un arrêt de sme par ex.)
- attendre la requête de mes autre clients NFS cités + haut et leur envoyer la réponse --> mode serveur FTP
- attendre la requête NFS de mon sme qui aimerait effectuer une sauvegarde (si j'ai bien compris, mais je n'en suis pas encore là) ou recharger quelque chose de sauvegardé --> mode serveur là aussi.
- recevoir ces emails --> pop3 entrant
- envoyer des emails --> smtp sortant
jibe a écrit:Si ton téléphone est le 01-23-45-67-89 et que tu es serveur, me répondras-tu si je t'appelles sur un numéro aléatoire et me serviras-tu ?
non, bien sûr. Le serveur doit être contacté sur le "bon" port et peut l'être à partir de n'importe quel téléphone. Ça je l'ai bien compris.
L'exemple du téléphone est très bon!
En général:
- j'ai discuté de ces histoires de ports et de firewall avec un gars du service info de ma boîte: il n'a pas été capable de me répondre ..... mais m'a assuré que le client devait avoir un firewall.
- ma doc ufw:
http://doc.ubuntu-fr.org/ufw est en français
@+
Arnaud
plutôt faire envie que faire pitié...